מאת חגי קלורמן-עראקי
ניתן לחלק את משמעויות אבטחת המידע של החוק לשני מרכיבים עיקריים, האחד הוא מרכיב ארגוני והשני הוא מרכיב טכנולוגי:
היבטים ארגוניים
הכרת חוק הגנת הפרטיות: על הארגון לבצע תהליך של הדרכה והטמעת החוק ומשמעויותיו, יש לדאוג כי תהליך זה יכלול את כל הגורמים הרלוונטיים בארגון, החל בהנהלה, אנשי המחשב, אנשי הפיתוח של סביבת המאגר וכלה במשתמשי הקצה.
ביצוע: 1. ביצוע סבב הרצאות לדרגי העבודה השונים. 2. הכנת חומר הסבר קצר שיהיה נגיש לכלל העובדים. 3. הבאת נושא החוק לידיעת עובד חדש בזמן קליטתו.
עריכת נהלים פנימיים של הארגון
על מנת שמדיניות הארגון בהיבט אבטחת המידע תושרש ותמומש, יש לאגד את הדרישות בנוהלי החברה. מומלץ לשלב בתהליך כתיבת הנהלים את הגורם המשפטי של הארגון בד בבד עם עבודתם של אנשי אבטחת המידע.
ביצוע: על הנהלים להתייחס ולהגדיר את הנושאים הבאים: 1. אופן שמירה על חסיון המידע המצוי במאגרים שבאחריות הארגון. 2. הגדרת מנהל לכל מאגר מידע של הארגון. 3. חיוב מסירת מידע לגורמים חיצוניים רק בהתאם לחוק. 4. אופן מתן זכות עיון לפרט במידע השמור אודותיו. 5. קביעת סדרי ניהול של מאגר המידע, וכללים להרשאת גישה למידע, לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע - הכל בהתאם להוראות החוק. 6. חובת ניהול מעקב ובקרה אחר השימוש במידע שבניהולם. 7. אופן התמודדות עם אירועים חריגים, תהליך התגובה והדיווח. 8. בדיקה שנתית מקיפה של המאגרים הקיימים בחברה, לצורך בדיקת רמת אבטחת המידע ויישום נוהלי אבטחת המידע בהם.
היבטים טכנולוגים
הקמת הגנה פיסית על מאגר המידע ועל תשתית המערכת: יש לוודא כי מאגר המידע ימצא במבנה מאובטח ושאמצעי תקשורת, מסופים ותשתית חשמלית ימוגנו מפני סיכונים סביבתיים ופגיעות.
ביצוע: 1. יש למפות את הסביבה הפיזית הקיימת. 2. יש לבנות את הסביבה המאובטחת בהתייעצות עם גורם מקצועי. 3. יש לתת את הדעת לגורמים כגון: אופן הגישה לחדרי המחשב, דלתות וחלונות מאובטחים, כניסת טכנאים וכו'.
אפליקציות המאגר
יש לסדר את ניהולו של מאגר המידע ואת הכללים להרשאת גישה למידע, לאיסוף, לסימון, לאימות, לעיבוד ולהפצה של המידע.
ביצוע: 1. לכל סוגי ה-Databases קיימות יכולות אבטחה שונות. עם מימוש יכולות אלה, יש לבדוק אם קיימים פערי אבטחה אשר מצדיקים קליטת מוצר אבטחה נוסף. 2. בכל סוג ה-Databases יש צורך לבצע תהליך של "הקשחה" הן לאפליקציות המאגר והן במערכת ההפעלה.
יש לנקוט אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש, וכן יש לקבוע סדרי בקרה לגילוי פגיעה וגניבה של המידע.
ביצוע: 1. על מנהל המאגר לבצע מעקב אחר ההרשאות הניתנות, יש להגביל את מספר ההרשאות הגבוהות למינימום ולוודא את מחיקת הרשאות של משתמשים ישנים. 2. יש להבדיל בין סוגי המשתמשים והגישה למידע השונה, מומלץ לבנות מערך היררכי של הרשאות למידע לפי רגישותו. 3. יש לוודא את הפעלת מנגנוני ה-Log השונים. על ה-Logs להיות מאובטחים משינוי לא מורשה. 4. על המגוננים להתריע על ניסיונות פריצה ושיבוש של המאגר. יתכן שימוש באפליקציות דיווח ייעודית במיוחד אם מאגר המידע פרוס בין מספר פלטפורמות. 5. יש לשקול להשתמש במנגנוני חתימה דיגיטלית על המידע במאגר, כדי להגן משינויים לא מורשים על המידע. 6. מומלץ לבצע "מבדקי חדירה" למאגרי המידע על מנת לגלות פרצות באופן הניהול והאפליקציות של המאגר.
המגמה המסתמנת כיום הינה אכיפה מוגברת של החוק, כאשר השלב הראשון הינו רישום של מאגרי המידע.
השלב המתבקש הבא של האכיפה, הינו בדיקה של סדרי אבטחת המידע בארגונים ובמאגרים. בשל מורכבות תהליך האבטחה, מומלץ להשתמש לצורך כך באנשי מקצוע ולדאוג לבצע בדיקה מקיפה לגבי כל מאגרי המידע של הארגון.
חגי קלורמן-עראקי הינו יועץ אבטחת מידע ב-IBM Global services.
הת'כלס אבטחת מידע
קוראים כותבים
14.6.2001 / 16:44